越来越多的业务开始上云,但通常情况下云环境的搭建和配置往往是优先考虑的事情,而安全性则被置于次要地位。大多数组织(54%)将本地安全工具简单的迁移到云端,但是这些工具并非为云而设计,这限制了它们的扩展能力。云业务的显著增长也带来了威胁和数据泄露的大幅增加。在过去的十八个月中,大多数利用云计算能力的企业都经历了某种形式的数据泄露。希望本文能帮助组织提高应对高级威胁意识,尤其是在进行云计算迁移和安全建设时重点考虑云安全威胁。数据泄露是指敏感、受保护或机密信息被未经授权的个人发布、查看、窃取或使用,包括但不限于个人健康信息、财务信息、个人可识别信息、商业秘密和知识产权。数据泄露可能是针对性攻击导致的结果,也可能仅仅是人为错误、应用程序漏洞或不充分的安全实践导致的结果。云对攻击者来说是极具吸引力的目标资产。组织可以通过选择一系列安全措施保护数据安全,包括执行最小权限、创建带有恢复计划的不可变备份、启用加密,并定期审查数据安全措施来保护其数据。数据正成为网络攻击的主要目标。定义数据的商业价值和数据丢失的影响对于拥有或处理数据的组织来说非常重要。云资源的配置错误是数据泄露的主要原因,而缺乏有效的变更控制是云环境中配置错误的常见原因。云环境与传统信息技术不同,在企业数据中心中静态的基础设施元素在云中被抽象为软件,它们的整个生命周期可能只持续几分钟或几秒钟。同时,多云环境也增加了安全防护的复杂性。这种动态的云环境需要一种敏捷和主动的云安全方案,但是许多公司尚未采取对应措施。云配置错误是指不正确地设置云资产的行为。这意味着它们可能被恶意活动利用,可能导致安全漏洞的检测时间延长,使关键的企业数据处于不安全状态。在过去的两年中,特权账户的泄露占所有与身份相关的安全漏洞的34%。然而,只有38%的组织正在使用多因素认证来保护他们的特权账户。这增加了数据泄露的机会,因为它为网络犯罪分子提供了一个黄金机会,他们可以通过利用配置错误的账户来访问敏感数据。很多组织仍然只是简单地将现有的IT堆栈和安全控制措施“转移”到云环境中,安全建设往往落后于功能迁移,对共享安全责任模型理解不足。为降低被网络攻击可能性,组织需要实施适当的安全架构并制定强大的安全策略,包括利用云原生工具增加云环境中的可见性来最小化风险和成本。因为云计算深刻影响身份、凭据和访问管理。在公有云和私有云设置中,云供应商和云消费者都需要在不影响业务运转的情况下安全管理IAM。云环境中安全事件和数据泄露可能发生,原因包括:凭据和加密密钥不得嵌入源代码或发布类似GitHub这样公开平台,密钥需要使用安全良好的公钥基础设施(PKI)来保护,以确保密钥管理活动得到执行。此外,身份管理系统必须支持在人员变动时(如离职或角色转换)立即撤销对资源的访问权限。这种身份管理生命周期流程应集成在云环境中和能够完全自动化。云服务供应商提供各种处理密钥管理的方法,从完全依赖云供应商进行完全托管的服务器端加密,到客户自己生成和管理密钥并在上传数据之前进行加密的完全客户端加密方法。在云环境中,风险最高的账户是云服务账户和订阅账户。钓鱼攻击、利用基于云的系统或窃取的凭据可能会危及这些账户。这些风险源于云服务的交付模式,以及其组织和治理:数据和应用程序驻留在云服务中,云服务驻留在云账户或订阅账户中。账户和服务劫持意味着完全失陷,包括业务中断、数据资产泄露等等。恶意攻击者可以使用网络钓鱼技术、暴露的凭据等脆弱性来获得云租户的初始访问权限。他们还可以利用过于“宽松”的访问控制策略进一步渗透到环境中,获取对敏感资源的访问权限。访问控制策略应仔细配置,以确保仅授予用户必要的最少权限,此外还需实施职责分离,以特别保护敏感操作和资源。内部威胁是指“拥有或曾经拥有对组织资产授权访问的个人,利用他们的访问权限,无论是恶意的还是无意的,以可能对组织产生负面影响的方式行事。” 内部人员可能是当前或以前的员工、承包商或其他受信任的商业伙伴。与外部威胁行为者不同,内部人员在公司的安全信任圈内操作,他们可以直接访问网络、计算机系统和敏感公司数据。根据波恩蒙研究所研究,员工或承包商的疏忽占内部威胁比例的64%,而23%与犯罪内部人员有关,13%与凭据盗窃有关。一些常见的情况包括配置错误的云服务器、员工在他们自己的不安全个人设备和系统上存储公司敏感数据以及员工或其他内部人员成被钓鱼邮件,导致公司资产被恶意攻击。采取措施减少内部人员的疏忽可以减轻内部威胁的后果。下面概述的行动可以帮助解决用户疏忽和管理引入的安全问题。API和UI通常是系统最暴露的部分,可能是唯一具有公共IP地址的资产,可在受信任的组织边界之外使用。作为“前门”,它们很可能会被持续攻击,因此需要有足够的控制措施来保护它们免受攻击。测试 API 和微服务是否存在因配置不当、编码不当、身份验证不足和授权不当而导致的漏洞。API安全关键点如下:云服务平台存在系统漏洞。它们可能被用来破坏数据的机密性、完整性和可用性,从而可能扰乱服务运营。组织无法分析云服务使用是否安全,主要表现在两个方面,首先是一些未经授权的应用程序使用。这种情况导致了大量影子资产,而安全攻击中有三分之一将通过影子IT系统和资源发起。其次,组织通常无法分析他们批准的应用程序是如何被内部人员利用的,无法确定他们的行为是否超出正常要求或是否满足安全合规要求。托管的恶意软件的云服务可能看起来更合法,因为恶意软件使用CSP的域名。此外,云托管的恶意软件可以使用云共享工具作为攻击向量,进一步传播自身。滥用云资源的其他例子包括:企业必须意识到这些新的云攻击向量,并采取措施应对,需要采购能够监控云基础设施或API调用的安全技术。
文章来源: https://mp.weixin.qq.com/s?__biz=MzUyOTkwNTQ5Mg==&mid=2247489094&idx=1&sn=109fa475b2bb7ca828702e7acdd9e79b&chksm=fa58b47dcd2f3d6b98d97a7bb2a846932d5ff5e9bbb8d84868fe6cc6650425bc087c34cef918&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh